DSMM数据安全能力成熟度模型

本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期，从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。
本标准适用于组织机构数据安全能力的自身评估，也适用于第三方机构对组织机构的数据安全保障能力进行评估
本标准借鉴能力成熟度模型（CMM）的思想，以CMM的通用实践来衡量能力成熟度等级，以《要求》中的安全要求为基础，定义数据安全过程域和基本实践，指导组织机构如何持续达到所对应的安全要求。

本标准主要根据《信息安全技术 大数据服务安全能力要求》（以下简称为《要求》）中的数据安全要求对组织机构ᨀ供的数据安全能力ᨀ出评估的模型框架及方法论。《要求》中定义了大数据服务ᨀ供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力，本标准针对《要求》中定义的每个安全要求定义基本实践，并根据本标准定义的成熟度等级的通用实践，对基本实践进行等级评估。
本标准阐述了数据安全能力评估的成熟度模型及方法论，在过程域层面与《要求》完全一致，在基本实践层面与《要求》进行映射，两标准可以相互支撑调用。《要求》中定义了大数据服务ᨀ供者ᨀ供大数据服务所需要满足的基线要求，本标准定义了组织机构持续实现安全过程、满足安全要求的能力等级的评估方法，来指导组织机构ᨀ升自身的数据安全能力水平。

数据安全能力成熟度模型（DS-CMM）的模型架构由以下三方面构成（如图1所示）：
——数据生命周期安全：围绕数据生命周期，ᨀ炼出大数据环境下，以数据为中心，针对数据生命周期各阶段建立的相关数据安全过程域体系。
——安全能力维度：明确组织机构在各数据安全领域所需要具备的能力维度，明确为组织建设、制度流程、技术工具和人员能力四个关键能力的维度。
——能力成熟度等级：基于统一的分级标准，细化组织机构在各数据安全过程域的五个级别的能力成熟度分级要求。

image.png

数据生命周期安全

image.png

基于大数据环境下数据在组织机构业务中的流转情况，定义数据生命周期的6个阶段，具体各阶段
的定义如下：
——数据采集：指在组织机构内部系统中新生成数据，以及从外部收集数据的阶段。
——数据传输：指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。
——数据存储：指数据以任何数字格式进行物理存储或云存储的阶段。
——数据处理：指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
——数据交换：指数据由组织机构与外部组织机构及个人交互的阶段。
——数据销毁：指通过对数据及数据的存储介质通过相应的操作手段，使数据彻底消除且无法通过任何手段恢复的过程。

组织机构的数据安全能力成熟度

模型分为五个成熟度等级，一级是非正式执行级，二级是计划跟踪级，三级是充分定义级，四级是量化控制级，五级是持续改进级。能力级别从一级至五级逐级ᨀ高，标志着组织机构的数据安全保障能力的成熟度不断ᨀ升。每个级别规定了对应的公共特征和通用实践。

image.png

image.png

安全能力维度

通过对各项安全过程所需具备安全能力的量化，可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
——组织建设：数据安全组织机构的架构建立、职责分配和沟通协作。
——制度流程：组织机构关键数据安全领域的制度规范和流程落地建设。
——技术工具：通过技术手段和产品工具固化安全要求或自动化实现安全工作。
——人员能力：执行数据安全工作的人员的意识及专业能力。

数据安全评估模型 标准下载地址 链接: https://pan.baidu.com/s/1YbMYa6BZxnHCTJ0ezNVidg 提取码: u5rc